米国家安全保障局、IPv6セキュリティガイダンスを公開

米国家安全保障局 (NSA) が IPv6 移行期におけるセキュリティの問題を特定・緩和するためのガイダンスを公開している(プレスリリース、ガイダンス: PDF、The Register の記事)。

ガイダンスは国防総省 (DoD) やその他のシステム管理者向けに書かれており、ネットワークが IPv6 を使い始めて間がないこと、それにより成熟した IPv6 構成やツールがないこと、IPv4 を同時使用するデュアルスタックシステムでの運用になること、などによる攻撃面増加に注目した内容になっている。ガイダンスの主なポイントは以下のようなものだ。 プライバシーの問題がある SLAAC を使わず、DHCPv6 を使用する　
　必要な場合を除いてトンネリングを避ける　
　デュアルスタックシステムの IPv6 側に IPv4 と同等または上回るサイバーセキュリティシステムを実装　
　複数の IPv6 アドレスを割り当てたホストがすべてのトラフィックをデフォルトで拒否する設定になっていることを ACL で確認し、すべてのトラフィックを記録することを確実にする　
　すべてのネットワーク管理者が IPv6 ネットワーク管理に必要なトレーニングを受ける　このほか、スプリット DNS の使用や IPv6 トラフィックのフィルタリング、デュアルスタックシステムでのネットワークアドレス変換使用回避などが追加の対策として紹介されている。

　スラドのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
NSA、可能な限りメモリ安全なプログラミング言語を使うことを推奨 2022年11月13日
中国が発展途上国向けに提案している「IPv6＋」はIPv6とは似て非なるもの 2022年06月17日
IPv6基礎検定が2023年3月から実施へ 2022年03月25日